Plano de Monitorização Pós-Mercado

Fornecedor: [Nome da organização / fornecedor]

Documento: PMP-IA-001

Versão: [1.0]

Data: [DD/MM/AAAA]

Nome do sistema de IA [Nome do sistema]
Versão do sistema [Número da versão]
Classificação de risco [Alto risco - Art. 6.º, Anexo III, ponto X]
Data de colocação no mercado [DD/MM/AAAA]
Responsável pelo plano [Nome e cargo]
Data de elaboração [DD/MM/AAAA]
Próxima revisão [DD/MM/AAAA]

1. Objetivo

O presente plano estabelece o sistema de monitorização pós-mercado para o sistema de IA [Nome do sistema], em conformidade com o Artigo 72.º do Regulamento (UE) 2024/1689 (AI Act).

O plano tem por objetivo:

Art. 72.º, n.º 1: Os fornecedores devem criar e documentar um sistema de monitorização pós-mercado de forma proporcionada à natureza das tecnologias de inteligência artificial e aos riscos do sistema de IA de alto risco. O sistema de monitorização pós-mercado deve recolher, documentar e analisar, de forma ativa e sistemática, dados relevantes que possam ser fornecidos pelos responsáveis pela implantação ou recolhidos através de outras fontes sobre o desempenho dos sistemas de IA de alto risco ao longo do seu ciclo de vida.

2. Requisitos Legais

Resumo dos requisitos do Art. 72.º aplicáveis:

Requisito Referência Cumprido Observações
Sistema de monitorização pós-mercado documentado Art. 72.º, n.º 1 [Sim/Não] [Observações]
Recolha ativa e sistemática de dados relevantes Art. 72.º, n.º 1 [Sim/Não] [Observações]
Avaliação contínua da conformidade com os requisitos do Capítulo III, Secção 2 Art. 72.º, n.º 2 [Sim/Não] [Observações]
Plano de monitorização integrado no sistema de gestão da qualidade (Art. 17.º) Art. 72.º, n.º 1 [Sim/Não] [Observações]
Relatório de monitorização pós-mercado (quando solicitado) Art. 72.º, n.º 3 [Sim/Não] [Observações]
Procedimentos de comunicação de incidentes graves (Art. 73.º) Art. 73.º [Sim/Não] [Observações]

3. Dados Recolhidos

Tipos de dados que o sistema de monitorização pós-mercado recolhe e analisa.

3.1 Métricas de desempenho

Métrica Descrição Fonte Frequência de Recolha
[Ex.: Exatidão global] [Descrição da métrica] [Sistema / Logs / Auditorias] [Contínua / Diária / Semanal]
[Ex.: Taxa de falsos positivos] [Descrição] [Fonte] [Frequência]
[Ex.: Taxa de falsos negativos] [Descrição] [Fonte] [Frequência]
[Ex.: Latência de resposta] [Descrição] [Fonte] [Frequência]
[Ex.: Desvio de distribuição (drift)] [Descrição] [Fonte] [Frequência]

3.2 Feedback dos utilizadores

Canal de recolha [Descreva os canais utilizados para recolher feedback: formulários, inquéritos, helpdesk, entrevistas]
Frequência de recolha [Contínua / Periódica - indicar periodicidade]
Tipo de feedback recolhido [Satisfação, erros reportados, sugestões, dificuldades de utilização]
Responsável pela análise [Nome/Cargo]

3.3 Relatórios de incidentes

Tipos de incidentes monitorizados
  • Erros do sistema com impacto nos utilizadores
  • Resultados discriminatórios ou enviesados
  • Falhas de segurança ou cibersegurança
  • Violações de dados pessoais
  • Indisponibilidade do sistema
  • Intervenções humanas forçadas
  • Reclamações de pessoas afetadas
  • Danos à saúde, segurança ou direitos fundamentais
Sistema de registo [Descreva o sistema utilizado para registar incidentes]
Responsável pelo registo [Nome/Cargo]

3.4 Dados de reclamações

Canal de reclamações [E-mail, formulário, telefone, presencial]
Processo de tratamento [Descreva o fluxo de tratamento de reclamações]
Prazo de resposta [Prazo máximo de resposta]
Análise de tendências [Descreva como as reclamações são analisadas para identificar padrões]

4. Metodologia de Monitorização

4.1 Monitorização automatizada

Sistemas e ferramentas de monitorização contínua.

Ferramenta/Sistema Função Métricas Monitorizadas Alertas Configurados
[Nome da ferramenta] [Monitorização de desempenho / Deteção de anomalias / etc.] [Lista de métricas] [Limiares de alerta configurados]
[Nome da ferramenta] [Função] [Métricas] [Alertas]

4.2 Revisões periódicas

Tipo de Revisão Periodicidade Responsável Âmbito Resultado Esperado
Revisão de desempenho [Semanal / Mensal] [Cargo] Análise das métricas de desempenho; comparação com valores de referência Relatório de desempenho
Revisão de enviesamento [Mensal / Trimestral] [Cargo] Análise de enviesamentos por grupo demográfico; equidade dos resultados Relatório de equidade
Revisão de segurança [Trimestral] [CISO] Avaliação de vulnerabilidades; revisão de logs de segurança Relatório de segurança
Revisão de conformidade [Semestral / Anual] [AI Officer] Verificação da conformidade com todos os requisitos do AI Act Relatório de conformidade
Auditoria interna [Anual] [Auditoria interna] Auditoria completa do sistema de monitorização e do sistema de IA Relatório de auditoria

4.3 Inquéritos a utilizadores

Tipo de inquérito [Satisfação / Usabilidade / Experiência / Impacto]
Periodicidade [Trimestral / Semestral / Anual]
Público-alvo [Responsáveis pela implantação / Utilizadores finais / Pessoas afetadas]
Método de distribuição [Online / Presencial / Telefónico]
Análise de resultados [Descreva como os resultados são analisados e utilizados]

4.4 Acompanhamento de incidentes

ID Incidente Data Descrição Gravidade Estado Ação Corretiva
[ID] [DD/MM/AAAA] [Descrição do incidente] [Baixa / Média / Alta / Crítica] [Aberto / Em investigação / Resolvido / Encerrado] [Ação tomada]
[ID] [DD/MM/AAAA] [Descrição] [Gravidade] [Estado] [Ação]

5. Indicadores-Chave de Desempenho (KPIs)

KPI Descrição Valor Alvo Limiar de Alerta Limiar Crítico Frequência de Medição
[Ex.: Exatidão] [Percentagem de previsões corretas] [≥ 95%] [< 93%] [< 90%] [Diária]
[Ex.: Equidade (disparidade entre grupos)] [Diferença de desempenho entre grupos demográficos] [< 5%] [> 7%] [> 10%] [Mensal]
[Ex.: Tempo de resposta] [Latência média do sistema] [< 500ms] [> 1s] [> 5s] [Contínua]
[Ex.: Taxa de intervenção humana] [Percentagem de casos que requerem intervenção] [< 10%] [> 15%] [> 25%] [Semanal]
[Ex.: Disponibilidade do sistema] [Percentagem de tempo em que o sistema está operacional] [≥ 99.5%] [< 99%] [< 97%] [Contínua]
[Ex.: Reclamações recebidas] [Número de reclamações por período] [< 5/mês] [> 10/mês] [> 20/mês] [Mensal]
[Outro KPI] [Descrição] [Alvo] [Alerta] [Crítico] [Frequência]

6. Processo de Revisão e Atualização

O plano de monitorização pós-mercado é revisto e atualizado nas seguintes circunstâncias:

7. Reporte a Autoridades

7.1 Relatório de monitorização pós-mercado

Art. 72.º, n.º 3: O fornecedor deve elaborar um relatório de monitorização pós-mercado que documente a análise dos dados recolhidos e as conclusões retiradas, incluindo eventuais ações corretivas tomadas. O relatório deve ser disponibilizado às autoridades de fiscalização do mercado dos Estados-Membros quando solicitado.
Periodicidade do relatório [Anual / conforme solicitação da autoridade]
Conteúdo do relatório
  • Resumo dos dados recolhidos
  • Análise de tendências
  • Incidentes registados e ações corretivas
  • Estado dos KPIs
  • Avaliação da conformidade contínua
  • Conclusões e recomendações
Destinatário ANACOM - Autoridade Nacional de Comunicações (quando solicitado)
Responsável pela elaboração [Nome/Cargo]

7.2 Comunicação proativa

Situação Autoridade Prazo Conteúdo
Risco para a saúde ou segurança das pessoas ANACOM / Autoridades de fiscalização Imediato Descrição do risco, medidas tomadas, sistemas afetados
Não conformidade com os requisitos do AI Act ANACOM [Prazo definido] Descrição da não conformidade, plano de ação corretiva
Retirada ou recolha do sistema ANACOM / Autoridades de todos os Estados-Membros afetados Imediato Motivos da retirada, sistemas afetados, medidas de proteção

8. Incidentes Graves

Conforme Art. 73.º - Comunicação de incidentes graves.

Art. 73.º, n.º 1: Os fornecedores de sistemas de IA de alto risco colocados no mercado da União devem comunicar qualquer incidente grave às autoridades de fiscalização do mercado dos Estados-Membros em que o incidente ocorreu. A comunicação deve ser feita imediatamente após o fornecedor ter estabelecido um nexo de causalidade entre o sistema de IA e o incidente grave, ou a probabilidade razoável desse nexo, e, em qualquer caso, no prazo máximo de 15 dias após o fornecedor ou, se aplicável, o responsável pela implantação ter tomado conhecimento do incidente grave.

8.1 Definição de incidente grave

Nos termos do Art. 3.º, n.º 49, entende-se por incidente grave qualquer incidente ou mau funcionamento de um sistema de IA que direta ou indiretamente conduza a qualquer das seguintes situações:

8.2 Procedimento de comunicação de incidentes graves

Etapa Ação Responsável Prazo
1. Deteção Identificação do incidente e avaliação preliminar da gravidade [Qualquer colaborador / Sistema de monitorização] Imediato
2. Escalação interna Comunicação ao AI Officer e à direção executiva [Quem deteta o incidente] Até 2 horas
3. Investigação preliminar Análise do nexo de causalidade; recolha de evidências; medidas imediatas de contenção [AI Officer / Equipa técnica] Até 24 horas
4. Comunicação à ANACOM Notificação formal do incidente grave à autoridade competente [AI Officer / Direção] Máximo 15 dias após conhecimento
5. Investigação completa Análise de causa-raiz; avaliação do impacto; identificação de ações corretivas [Equipa de investigação] [Prazo definido]
6. Ações corretivas Implementação de medidas corretivas e preventivas [Responsáveis designados] [Conforme plano]
7. Relatório final Elaboração do relatório final do incidente; comunicação à ANACOM [AI Officer] [Prazo definido]

9. Ações Corretivas

9.1 Tipos de ações corretivas

Situação Ação Corretiva Responsável Prazo Máximo
Degradação de desempenho (alerta) Investigação da causa; ajuste de parâmetros; re-treino se necessário [Equipa técnica] [Prazo]
Degradação de desempenho (crítico) Suspensão temporária do sistema; investigação urgente; plano de recuperação [AI Officer / Equipa técnica] [Prazo]
Enviesamento detetado Análise das fontes de enviesamento; correção dos dados ou do modelo; validação [Equipa de dados / ML] [Prazo]
Vulnerabilidade de segurança Correção da vulnerabilidade; atualização de segurança; re-avaliação [CISO / Equipa de segurança] [Prazo]
Incidente grave Desativação do sistema; investigação de causa-raiz; comunicação à ANACOM; plano de remediação [Direção / AI Officer] Imediato (desativação); 15 dias (notificação)
Não conformidade regulatória Plano de ação para restabelecimento da conformidade; comunicação à ANACOM se necessário [AI Officer / Jurídico] [Prazo]

9.2 Registo de ações corretivas

ID Data Problema Identificado Ação Corretiva Responsável Estado Data de Fecho
[AC-001] [DD/MM/AAAA] [Descrição] [Ação] [Nome] [Aberto / Em curso / Concluído] [DD/MM/AAAA]
[AC-002] [DD/MM/AAAA] [Descrição] [Ação] [Nome] [Estado] [DD/MM/AAAA]

10. Cronograma de Monitorização

Contínuo

Monitorização automatizada de métricas de desempenho; recolha de logs; alertas automáticos

Semanal

Revisão dos alertas e anomalias da semana; análise de incidentes pendentes

Mensal

Relatório de desempenho mensal; análise de KPIs; revisão de reclamações e feedback

Trimestral

Análise de enviesamento e equidade; revisão de segurança; inquérito a utilizadores; relatório ao Comité de Risco IA

Semestral

Revisão completa do plano de monitorização; avaliação de conformidade; atualização de KPIs e limiares

Anual

Auditoria interna completa; relatório anual de monitorização pós-mercado; revisão estratégica; atualização da documentação técnica

Atividade Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez
Monitorização automática Contínuo
Relatório mensal XXXXXXXXXXXX
Revisão trimestral XXXX
Revisão semestral XX
Auditoria anual X
Inquérito a utilizadores XX

11. Responsabilidades

Papel Responsável Responsabilidades no Âmbito da Monitorização
Fornecedor / Direção [Nome/Cargo] Aprovação do plano; alocação de recursos; supervisão estratégica; decisão sobre ações corretivas de grande impacto
AI Officer [Nome/Cargo] Coordenação geral da monitorização; elaboração de relatórios; ligação com a ANACOM; gestão de incidentes graves
Equipa técnica / ML Engineers [Nome/Cargo] Monitorização técnica; análise de métricas; investigação de anomalias; implementação de ações corretivas técnicas
CISO [Nome/Cargo] Monitorização de segurança; avaliação de vulnerabilidades; resposta a incidentes de segurança
DPO [Nome/Cargo] Monitorização de conformidade com RGPD; análise de impacto na privacidade; tratamento de reclamações de proteção de dados
Suporte ao cliente / Atendimento [Nome/Cargo] Recolha de feedback; registo de reclamações; primeira triagem de incidentes reportados por utilizadores

12. Assinaturas

Elaborado por:

Nome: [Nome completo]

Cargo: [Cargo]

Assinatura

Data: [DD/MM/AAAA]

AI Officer:

Nome: [Nome completo]

Cargo: [Cargo]

Assinatura

Data: [DD/MM/AAAA]

CISO:

Nome: [Nome completo]

Cargo: [Cargo]

Assinatura

Data: [DD/MM/AAAA]

Direção Executiva:

Nome: [Nome completo]

Cargo: [Cargo]

Assinatura

Data: [DD/MM/AAAA]

Plano de Monitorização Pós-Mercado elaborado nos termos do Art. 72.º do Regulamento (UE) 2024/1689 (AI Act)
© [Nome da organização] - Todos os direitos reservados